Responsabile della Protezione dei Dati (RPD o DPO): chi è e che ruolo svolge
Quali sono i parametri per individuare e istituire correttamente la figura del DPO introdotta nel nostro ordinamento dal Regolamento (UE) 2016/679, meglio conosciuto come GDPR? A definirli, sulla base delle esperienze maturate sul campo, arriva un documento redatto dal Network dei DPO delle Autorità amministrative indipendenti
29 Aprile 2021
Patrizia Cardillo
Esperta di Protezione dati personali, Coordinatrice del Network dei RPD delle Autorità indipendenti
Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito Regolamento o RGPD, più comunemente definito GDPR) pone la pubblica amministrazione al centro del processo e destinatario privilegiato di alcuni obblighi. Tra questi, l’obbligo, per tutte le PA, di procedere alla nomina di un Data Protection Officer (DPO), o Responsabile della Protezione dei Dati (RPD), ogniqualvolta trattino dati personali (art. 37, par. 1 RGPD).
Il Network dei DPO delle Autorità indipendenti
La solitudine in cui questa nuova figura può trovarsi a operare non aiuta ad affrontare le sfide poste dal Regolamento. Per superare questa difficoltà, il 15 giugno 2018, su iniziativa di alcuni RPD delle Autorità amministrative indipendenti, si è tenuta a Roma la prima riunione del Network dei RPD delle Autorità indipendenti che registra ad oggi la partecipazione dei RPD delle principali autorità di settore e di alcuni organismi che ne supportano l’attività.
La nascita del Network (iniziativa che è stata anche citata dal Garante nella sua Relazione 2020 al Parlamento) nelle intenzioni del gruppo si basa sulla convinzione che lavorare insieme rappresenti il modo migliore per affrontare il cambio culturale e di strategia organizzativa richiesti dal Regolamento. Ne costituisce diretta dimostrazione, in particolare, la scelta, portata avanti con determinazione dal Network, di farsi direttamente carico di organizzare seminari formativi rivolti a tutti i dirigenti delle Organizzazioni partecipanti e di condividere il proprio know-how.
Il Documento su ruolo e compiti del DPO
Il Documento elaborato dal Network sul ruolo e i compiti del Responsabile della Protezione dei Dati, dopo mesi di riflessioni e approfondimenti tesi a definire standard comuni, elaborare format, procedure e best practice al fine di contribuire alla compliance al RGPD delle proprie organizzazioni, rappresenta ora l’esigenza di aprirsi al confronto e la volontà di offrire, sui temi di maggiore rilevanza, dall’interno, una lettura meditata e consapevole, delle regole condivise e sperimentate sul campo.
Infatti, dalle esperienze maturate dai RPD aderenti al Network scaturiscono non solo interpretazioni e indicazioni, ma anche modalità operative per procedere lungo il percorso di adeguamento continuo al Regolamento.
Ovviamente ciascuno saprà, nella sua autonomia e tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, cogliere lo strumento più adeguato (procedura/regolamento interno, prassi, etc.) ad adattare e definire governance e regole che devono presiedere allo svolgimento dei compiti del RPD ed alle interrelazioni con le diverse funzioni.
È disponibile il testo integrale del Documento. Di seguito si delineano, per ciascun paragrafo, i tratti di maggiore interesse.
Obbligatorietà della nomina
Il RGPD ha reso il RPD – figura già presente da tempo nelle istituzioni europee – uno degli elementi centrali della governance del “sistema privacy” e sicuramente una delle misure di più elevato impatto della nuova normativa: il suo agire deve essere visto e posto in stretta correlazione con il titolare o il responsabile del trattamento che, nel loro interesse, devono coglierne il suo valore aggiunto.
Le Linee-guida sui RPD, adottate dal Comitato europeo per la protezione dei dati (di seguito: Comitato europeo), delineano le caratteristiche peculiari di tale figura: una sorta di consulente e, al contempo, un supervisore indipendente. Un vero e proprio presidio di legalità, pur nella sua indipendenza e imparzialità, che si pone, nell’ambito di ciascuna realtà organizzativa, come punto di riferimento per il titolare, ma anche per gli interessati e per il Garante. La designazione di un RPD, anche ove non obbligatoria, è raccomandata come buona prassi e vista come dimostrazione di accountability da parte del titolare.
È in tale quadro che si inseriscono due recenti provvedimenti del Garante: nel primo (Provvedimento Garante n. 118 del 2 luglio 2020 – Comune di Greve in Chianti) l’aver coinvolto il RPD nell’ambito delle attività di trattamento di dati personali è stato considerato quale elemento atto a comportare una riduzione della sanzione amministrativa pecuniaria comminata; nel secondo (Provvedimento Garante n. 87 del 25 febbraio 2021 – INPS), il mancato coinvolgimento del RPD in merito alle operazioni di trattamento, è stato considerato elemento atto a integrante la violazione proprio di uno dei principi fondamentali del RGPD (accountability) e, quindi, idoneo a determinare nei confronti del titolare inadempiente l’applicazione della sanzione più elevata (art. 83, par. 5, RGPD).
Competenze del DPO
Il RPD è una figura di garanzia deputata a stimolare (con attività d’informazione e consulenza) e a verificare (con attività di monitoraggio e sorveglianza) il corretto adeguamento alla normativa in materia di protezione dei dati personali. Il Regolamento non prevede specifici requisiti o attestazioni/certificazioni per il RPD, ma dedica ampi spazi a delinearne profilo e caratteristiche.
Innanzitutto, tale soggetto deve, proprio per poter garantire il corretto e pieno svolgimento dei compiti a lui affidati dal RGPD, possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati, nonché di quelle che caratterizzano lo specifico settore di riferimento.
Il RPD deve anche avere l’autorevolezza per agire in piena indipendenza e autonomia, non potendo ricevere istruzioni e riferendo direttamente ai vertici dell’ente: a tal fine, deve possedere oltre alle qualità professionali e alla conoscenza della struttura (compresi gli aspetti IT e le misure di sicurezza), anche capacità organizzative e di comunicazione. La conoscenza, anzi l’essere parte della realtà organizzativa, costituisce elemento che può favorire e porta a privilegiare la sua scelta all’interno della struttura. Tuttavia, se le competenze e le risorse necessarie non fossero disponibili nell’organigramma interno, potrebbe essere consigliabile una individuazione esterna.
Il titolare si deve assicurare che il RPD abbia a disposizione le risorse, anche finanziarie, necessarie per assolvere ai suoi compiti. Considerata la multidisciplinarietà di competenze che devono caratterizzare il RPD, emerge la necessità che egli sia supportato da un gruppo di staff o una segreteria tecnica che veda la presenza qualificata delle diverse professionalità di volta in volta richieste, la cui composizione è da valutare in relazione anche alle caratteristiche dell’organizzazione.
Nulla dice il Regolamento sulla durata dell’incarico di RPD. Ogni valutazione è rimessa, come sempre, al prudente apprezzamento del titolare. Tuttavia, il Garante europeo raccomanda di nominare il RPD per una durata più ampia possibile.
Posizionamento nell’ambito dell’organizzazione e conflitti di interesse
Il RPD deve essere collocato in una posizione che lo ponga nelle condizioni di svolgere le sue funzioni in piena indipendenza, come detto. Ciò significa anche non ricevere istruzioni né subire impulsi o condizionamenti di qualunque tipo e poter riferire direttamente al vertice gerarchico del titolare (o del responsabile). A garanzia di ciò è previsto il divieto di rimozione o penalizzazione in rapporto all’adempimento dei propri compiti.
Il RGPD consente che il titolare possa affidare al RPD altri compiti e funzioni all’interno dell’organizzazione. Tuttavia, tali compiti e funzioni non devono generare conflitti di interesse o ostacolarne l’attività.
Alla luce delle due condizioni poste dal Regolamento (divieto di conflitto di interessi e necessità di avere disponibilità di tempo adeguata) risulta evidentemente difficile, negli enti di grandi dimensioni, assegnare al RPD ulteriori responsabilità o incarichi aggiuntivi tali da incidere negativamente sull’effettività dello svolgimento dei suoi compiti. E non corretto conferirgli il potere di determinare finalità e mezzi del trattamento, attività in conflitto di interessi con la funzione propria del RPD.
Proprio l’obiettivo di assicurare il più efficace esercizio delle sue funzioni, con particolare riferimento a quelle di sorveglianza sulla corretta applicazione del RGPD, rende necessario che il RPD sia posto nelle condizioni di rapportarsi in modo veloce ed efficace con le strutture interne che trattano dati personali, ma soprattutto quelle che, sotto diversi aspetti e sulla base di normative specifiche, svolgono attività correlate a quelle del RPD, quali ad esempio la funzione interna di audit o gli eventuali auditor esterni.
Compiti e funzioni del DPO
Il RPD assiste il titolare nell’attività di compliance alla normativa in tema sulla protezione dei dati personali. I suoi compiti sono riportati nell’art. 39 del Regolamento, ma l’elenco non è esaustivo e nulla vieta che gli siano assegnate funzioni ulteriori purché, come detto, non vadano a discapito della sua funzione e non generino conflitti di interesse. Ad esempio, ben può essergli assegnato il compito di tenere il Registro dei trattamenti o di coordinare le risposte alle richieste di esercizio dei diritti degli interessati.
Riguardo ai compiti propri della sua funzione, una particolare attenzione va posta all’attività di sorveglianza dell’osservanza del Regolamento: si tratta di un compito di controllo e monitoraggio che può essere svolto in diverse modalità, dalla raccolta delle informazioni, all’accesso ai dati, alla collaborazione nell’organizzazione del Piano di formazione del personale.
Non solo: il RPD deve cooperare con il Garante e fungere da interfaccia fra i soggetti, interni ed esterni i cui dati sono oggetto di trattamento: oltre alle autorità di controllo anche i soggetti interessati possono rivolgersi direttamente al RPD.
Occorre comunque sottolineare che il RPD non può mai sostituirsi al titolare nell’adempimento degli obblighi previsti dal Regolamento in capo a quest’ultimo: il controllo del rispetto del Regolamento non attribuisce al RPD la personale responsabilità in caso di inosservanza, responsabilità che resta in capo al titolare del trattamento. Sicuramente il RPD ha l’obbligo di segnalare al titolare inadempienze, difformità e scostamenti dal RGPD e dalle buone prassi.
Modalità di coinvolgimento del DPO e sua accountability
Da tutto quanto sopra esposto emergono evidenti due considerazioni:
- il RPD per esercitare il suo ruolo deve essere messo a conoscenza tempestivamente ed adeguatamente (RGPD art. 39, par. 1) di ogni questione attinente al trattamento di dati personali e deve disporre di tutte le informazioni pertinenti. A tal fine potrebbe rivelarsi utile definire procedure interne per le consultazioni formali del RPD su specifici atti;
- il RPD deve tenere traccia delle sue segnalazioni o indicazioni al titolare anche al fine di testimoniare il suo coinvolgimento da parte del titolare stesso.
Il principio di accountability che pervade tutto il Regolamento ben si configura anche nei confronti del RPD. Appare opportuna, se non necessaria, la redazione di una Relazione, con una cadenza almeno annuale, al titolare che dia conto del grado di compliance al regolamento dell’intera organizzazione, evidenziando criticità e progressi, in particolare sul fronte della governance e della formazione, delineando le azioni e le priorità da perseguire e il programma di monitoraggio sull’osservanza della normativa sulla protezione dati per l’anno successivo.
Il Campus di FPA Digital School
Come attuare il GDPR nelle pubbliche amministrazioni
Un percorso di formazione online con la supervisione scientifica e la conduzione di Patrizia Cardillo, docente ed esperta della materia, che ha ricoperto il ruolo di Responsabile protezione dati per Arera, in co-docenza per alcuni moduli con Anna Cataleta, Avvocato specializzata in temi di data protection e Giulia Adotti, Avvocato Cassazionista, esperta nell'ambito della tutela dei Diritti della Persona, in particolare in materia di privacy
20 Novembre 2024